Microsoft SQL Server 2000注册表表项权限设置不正确漏洞
发布日期: 2002-7-11
更新日期: 2002-7-18
受影响的系统:
Microsoft SQL Server 2000 Desktop Engine
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000
Microsoft SQL Server 2000 SP2
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 5205
CVE(CAN) ID: CAN-2002-0642
Microsoft SQL Server 2000是微软公司开发和维护的一种商业SQL数据库系统。
SQL Server 2000的默认注册表表项权限设置存在漏洞,远程可以执行查询操作的用户可能利用此问题修改下次启动SQL服务进程的权限。
在默认情况下,指定SQL服务进程所运行帐号的注册表项的权限设置不正确,能在服务器上执行SQL查询的远程攻击者可以无需管理员权限通过SQL查询修改此注册表表项,使SQL服务在下次启动时以较高的权限执行。
<*来源:Microsoft Security Bulletin
链接:http://www.microsoft.com/technet/security/bulletin/MS02-034.asp
*>
--------------------------------------------------------------------------------
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 严格控制对用户对SQL服务器的访问,只允许可信用户登录查询SQL服务。
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS02-034)以及相应补丁:
MS02-034:Cumulative Patch for SQL Server (Q316333)
链接:http://www.microsoft.com/technet/security/bulletin/MS02-034.asp
补丁下载:
* Microsoft SQL Server 2000:
http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333
